KISA "ISMS, 모두 만족한 가상자산사업자 없어"
인증 취득 이후에도 관리 소홀해…"특금법 앞두고 '지갑' 면밀히 볼 것"
(사진=팍스넷뉴스)


[팍스넷뉴스 원재연 기자] 내년 특금법 개정안 시행을 앞두고 가상자산사업자들이 정보보호관리체계(ISMS)인증을 획득하기 위해 노력하고 있다. 그러나 ISMS 취득을 위해 심사를 받거나 기존에 취득한 인증에 대해 점검을 진행한 가상자산사업자들 가운데 모든 항목을 만족한 사업자는 없었던 것으로 드러났다. 


18일 과학기술정보통신부와 한국인터넷진흥원(KISA)이 가상자산사업자를 대상으로 개최한 'ISMS 인증제도 설명회'에서 이창용 KISA 취약점점검팀 팀장은 "16개 가상자산사업자 가운데 ISMS 85개 항목을 모두 만족한 곳은 없었다"고 밝혔다.


11월 기준 가상자산 거래소 가운데 ISMS인증을 획득한 곳은 총 9곳이다. 지난 2018년 두나무(업비트), 코빗, 빗썸코리아, 코인원, 스트리미(고팍스)가 ISMS인증을 획득했으며 이어 지난 2019년 플루토스디에스(한빗코), 비티씨씨코리아가, 2020년 10월에는 뉴링크와 텐엔텐이 추가로 인증을 획득했다. 


현재 국내에서 사업을 유지 중인 가상자산거래소는 300여개이며, 이중 실질적으로 거래가 되고 있는 곳은 약 120개로 추정된다. KISA에 따르면 이들 가운데 올해 ISMS 인증 점검과 취득 심사를 거친 곳은 기존에 취득한 곳을 포함해 약 35개다. 


기존에 인증을 취득한 이후 지속적으로 보안과 관리체계를 개선한 사업자와 인증 취득 이후 관리를 소홀히 한 곳과의 차이는 점차 벌어지고 있는 추세다. 


이 팀장은 "일부 항목이 개선된 사업자도 있으나, 일부 사업자는 오히려 수준이 크게 떨어지는 경우가 있었다"며 "대부분 사유가 사업 여건에 영향을 받아 축소되거나 회사 이전으로 시스템과 네트워크 구성, 담당자가 변경되는 등 관리가 미흡해진 것"이라 말했다.


이어 "보안이 사업여건이 안좋아지면 가장 먼저 영향을 받는 부분이라는 점은 이해한다"며 "다만 가상자산사업자라는 특성상 보안 이슈가 사업성에 영향을 미칠 여지가 있는 만큼, 사업 여건이 변하더라도 대책을 마련해야한다"고 강조했다.


특금법을 대비해 올해 ISMS 인증 심사를 신청한 곳들도 마찬가지로 부족한 면이 많았다는 입장이다. 


이 팀장은 "신규로 점검한 19개사는 기존 사업자에 비해 모든 항목이 미흡했고, 일부 사업자들은 80개 이상의 항목이 미흡했다"고 지적했다. 



가상자산사업자들이 가장 미흡한 항목은 가상자산 지갑의 보안과 관리였다. 지갑관리가 소홀한 사업자는 91%였으며, 이 외에도 백업 대응, 주요 시스템 보안, 업무환경, 관리 보안등의 항목이 점검 결과 다소 부족한 것으로 드러났다. 


이 팀장은 "외부 보안관제 전문업체에 위탁을 하고 있으나, 여기에서 제외된 시스템에 대한 모니터링은 없는 경우도 있다"며 "대문을 잘 잠궈놔도 창문이 허술하면 뚫고 들어오기 마련"이라고 꼬집었다.


이 외에도 핫월렛의 개인키의 유출과 도난, 분실을 방지할 수 없는 대책이 없는 경우, 콜드월렛 보관장소에 CCTV가 마련되어있지 않은 경우, 모든 가상자산을 핫월렛에 보관하는 등의 보안상 미흡 사항이 사례로 제시했다.


이 팀장은 "내년은 가상자산사업자에 ISMS인증이 의무화 되고 9월까지 신고 유예 기간이 있는 만큼 점검을 신경쓸 것"이라며 "미흡한 부분이 많았던 지갑 등에 초점을 맞추고, 인증을 준비중인 곳들에게는 도움을 주는 방향으로 진행해 나갈 예정"이라 말했다. 


ⓒ새로운 눈으로 시장을 바라봅니다. 팍스넷뉴스 무단전재 배포금지

관련기사